Alkalmazások létrehozása Azure AD által felügyelt identitások használatával

Befejeződött

A felügyelt identitás a szolgáltatások és egyéb erőforrások identitásinformációinak az Azure-ba való létrehozásáért és kezelésért felelős. Az Azure az identitásadatokat a Azure Active Directory (Azure AD) tárolja. Ön ezután hozzáférési szabályzatokat rendelhet hozzá. Ezek a szabályzatok meghatározzák az erőforrásokhoz hozzáférő identitásokat.

Már létrehozott egy Azure-beli virtuális gépet, és hozzárendelt egy rendszer által felügyelt identitást. Azt szeretné, hogy a virtuális gépen futó alkalmazások hitelesítsék az Azure-erőforrásokra irányuló kéréseket. Jelszavak vagy megosztott kulcsok helyett a rendszer által hozzárendelt felügyelt identitást fogja használni.

Ebben az egységben többet tudhat meg arról, hogy az alkalmazások hogyan végezhetnek hitelesítést felügyelt identitásokkal. Megtudhatja, hogyan definiálhat egy engedélyezési szabályzatot az Azure Key Vaulttal. Emellett engedélyezheti a hitelesített identitást a titkos adatok olvasásához.

Felügyelt identitások

Egy korábbi leckében megtanulta, hogy az Azure támogatja a rendszer által hozzárendelt felügyelt identitásokat és a felhasználó által hozzárendelt felügyelt identitásokat. A rendszer által hozzárendelt felügyelt identitást az Azure hozta létre és kezeli. Ez szorosan kötődik egy adott erőforráshoz. Ha például olyan virtuális gépet hoz létre, amely rendszer által hozzárendelt felügyelt identitással rendelkezik, az Azure automatikusan létrehozza az identitást. Ezt ezután társítja a virtuális géphez. Ha a virtuális gépet törlik, az identitás is törlődik.

A felhasználó által hozzárendelt felügyelt identitások függetlenek minden erőforrástól. Felhasználó által hozzárendelt felügyelt identitást manuálisan kell létrehoznia. Ezt követően hozzárendelheti egy erőforráshoz vagy szolgáltatáshoz, például a készletkövető alkalmazáshoz. Az alkalmazás a futtatáskor a felhasználó által hozzárendelt felügyelt identitást használja. Ehhez az identitáshoz kell hozzárendelnie a hozzáférési jogokat azon Azure-erőforrásokra vonatkozóan, amelyekhez az alkalmazásnak hozzá kell férnie. Ezzel a módszerrel több virtuális gépen is üzembe helyezheti az alkalmazást. Az alkalmazás ezt a felhasználó által hozzárendelt felügyelt identitást használja ahelyett, hogy minden virtuális géphez rendszer által hozzárendelt felügyelt identitást ad meg.

Felhasználó által hozzárendelt felügyelt identitás létrehozása és kezelése

Felhasználó által hozzárendelt felügyelt identitást a Azure Portal parancssorból hozhat létre. A következő parancs az Azure CLI-t használja.

az identity create \
  --name <identity name>
  --resource-group <resource group>

Futtassa a következő parancsot az identitások listájának megtekintéséhez, beleértve a rendszer által hozzárendelt felügyelt identitásokat is. Jegyezze fel az identitás résztvevő-azonosítóját. Az Azure ezzel az azonosítóval rendeli hozzá és ellenőrzi a jogosultságokat.

az identity list \
  --resource-group <resource group>

Az identitás létrehozása után a résztvevő-azonosítóval társíthatja az identitást az erőforrásokkal.

Az identitás Azure-függvényalkalmazással való használatához futtassa a következő parancsot.

az functionapp identity assign \
  --name <function app name> \
  --resource-group <resource group> \
  --role <principal id>

A függvényalkalmazás ezzel az identitással fut. Hozzáfér az identitás számára elérhető erőforrásokhoz.

A szükséges parancsok erőforrásonként eltérőek. Ha például az identitás számára lehetővé teszi a kulcsok olvasását és listába Azure Key Vault a következő parancsot.

az keyvault set-policy \
    --name <key vault name> \
    --object-id <principal id> \
    --secret-permissions get list

Felhasználó által hozzárendelt felügyelt identitás törléséhez futtassa a következő parancsot.

az identity delete \
  --name <identity name>
  --resource-group <resource group>

Felügyelt identitás használata Azure Key Vault

A DefaultAzureCredential szolgáltatót a következőképpen használva, éles környezetben hitelesíthet egy felügyelt identitással, és a fejlesztés során a helyi fejlesztői hitelesítő adatokat is használhatja. A szolgáltató használatához telepítenie kell az Azure.Identity csomagot:

dotnet install Azure.Identity

A DefaultAzureCredential használatával most már létrehozhatunk egy SecretClient hitelesítettet.

var client = new SecretClient(new Uri(keyVaultUrl), new DefaultAzureCredential());

Az ügyfél létrehozását követően lekérünk egy nevesített titkos kulcsot.

KeyVaultSecret secretWithValue = await client.GetSecretAsync(secret.Name).ConfigureAwait(false);